Надо знать
- Наш тест личных будильников выявил тревожный недостаток защиты ваших личных данных.
- Многие устройства поставляются с идентификаторами пользователей и паролями по умолчанию, которые легко взломать, и не предлагают вам их изменить.
- Особое беспокойство вызывают приложения для отслеживания на многих устройствах с паролями по умолчанию, которые часто легко взломать.
Персональный будильник буквально может быть. спасатель, особенно для пожилых людей или людей с ограниченными возможностями. Если вы попали в аварию, вы нажимаете кнопку. и помощь должна быть в пути.
Это серьезная технология, так что вы бы это сделали. думаю, что производители и торговые посредники будут заботиться о безопасности по всем направлениям. Но многие терпят неудачу, когда дело доходит до. безопасность личной информации, которую вы передаете при настройке этих устройств. - включая ваше имя, адрес, дату рождения и номер водительского удостоверения.
Некоторые производители и торговые посредники мало зарабатывают. усилия по защите этих жизненно важных данных, которые могут быть использованы мошенниками для кражи. ваша личность. Никто не хочет, чтобы их данные попали на сайт. сервер компании, который можно взломать так же, как и само устройство.
По мере того как население Австралии стареет, использование персональных систем сигнализации неизбежно будет расти.
Но, как обнаружили наши тестировщики, многие из этих устройств представляют собой утечку личных данных, которая должна произойти. И. поскольку население Австралии стареет, использование персональных систем сигнализации неизбежно будет расти. Это лишь одна из причин, по которой мы больше не рекомендуем ничего личного. сигнализация, которую мы тестируем.
В чем проблема безопасности?
Многие продукты поставляются с готовыми идентификатором пользователя и паролем, и нет никаких запросов на их изменение.
Это особенно беспокоит, если задействовано приложение, связанное с отслеживанием. В 2018 году взлом MyFitnessPal затронул до 150 миллионов пользователей. Ранее в этом году сообщалось, что учетные данные некоторых из пострадавших появились в так называемой «темной сети».
Безопасность персональных данных не является приоритетом для многих розничных продавцов персональных сигнализаций.
Персональные часы-будильник от mindme.com.au поставляются с учетными данными для приложения для отслеживания под названием FangZouDiu. (что в переводе с мандаринского означает «предотвратить заблудиться»).
Имя пользователя по умолчанию для приложения - электронная почта. аккаунт на сайте 163.com, провайдера веб-услуг и мультимедиа на материковом Китае. Файл. пароль по умолчанию - 123456.
"Кто знает, какие приложения добывают и. отправка на офшорные серверы? »- говорит тестировщик CHOICE Скотт О'Киф.
И многие продавцы персональных сигнализаций предлагают. чтобы настроить продукт для вас, что влечет за собой активацию SIM-карты в вашем домене. от имени.
Кто знает, какие приложения добывают и отправляют на офшорные серверы?
ВЫБОР Тестировщик Скотт О'Киф
Один из наших покупателей активировал ряд. устройств, использующих этот метод, и выяснилось, что производители платят очень мало. внимание к защите личной информации.
По телефону рассказали представители бизнеса. Нашему покупателю потребовались такие реквизиты, как номер водительского удостоверения. и дату рождения, но не стал ее хранить - это словесное заверение, по всей видимости, было мерой их политики безопасности.
- говорит технический эксперт CHOICE Стив Данкомб. у потребителей есть основания для беспокойства.
"Как только вы выложите свою личную информацию. там, через веб-сайты этих компаний, он может оказаться где угодно », - говорит он. "Люди. кричат о том, что наше собственное правительство собирает такие данные, но они. добровольно или неосознанно передавать его иностранным веб-сайтам, контролируемым. кто знает кто. "
Хакер, идущий за личным персоналом. Данные тревог - одна из проблем, говорит Данкомб, но больше всего беспокоят хакеры. получение доступа к небезопасной компелюбые серверы, на которых хранятся личные данные о тревогах многих потребителей.
Все сделано на одном заводе?
Наши тестеры подозревают, что многие из этих устройств. являются универсальными моделями, произведенными одним и тем же зарубежным производителем, возможно, в Китае.
Это технология стоимостью примерно 20 долларов. Маркированы на местном уровне и продаются австралийскими розничными торговцами по цене до 400 долларов.
Многие продукты мы тестировали из разных. Судя по внешнему виду, австралийские розничные торговцы производили одно и то же устройство от того же самого. производитель. У других были такие же пароли по умолчанию, которые легко взломать, что означает это. любой, кто был заинтересован в отслеживании людей, мог это сделать.
Другая проблема в том, что некоторые устройства. которые используют SMS, могут управляться удаленно, отправив им простое SMS. команды.
Великобритания кибербезопасность и тестирование на проникновение. service, Fidus, изображает на своем веб-сайте устройство, которое похоже на то же устройство, которое изображено на livelifealarms.com.au, которое. мы протестировали. Fidus предупреждает, что такие устройства доступны в Австралии и США. вызывает опасения, что эти устройства массового производства, ребрендинга и перепродажи. уязвимы для эксплуатации.
Пароль по умолчанию для приложения отслеживания на некоторых устройствах - 123456, что свидетельствует о пренебрежении безопасностью ваших личных данных.
На веб-странице часто задаваемых вопросов по этому устройству указано "the. устройства устанавливаются и отправляются из Мельбурна, а не из офшора! », но не предлагает. другая информация о том, почему это выгодно. (Однако розничный торговец. обязуется принимать меры безопасности для защиты ваших личных данных. и платежные реквизиты.)
Другая известная компания по кибербезопасности, Avast, сообщила в начале сентября, что проблема, по всей видимости, широко распространена в сети. промышленность.
Avast сообщил, что 29 моделей устройства для слежения за детьми произведены тем же китайским производителем Shenzhen i365. Tech, имел "серьезные" уязвимости в системе безопасности, которые могли позволить доступ к пользовательским персональная информация. Эти уязвимости включают 123456 паролей по умолчанию.
После того, как вы разместите свою личную информацию через веб-сайты этих компаний, она может оказаться где угодно.
Технический эксперт CHOICE Стив Данкомб
Плохой дизайн в трекерах позволяет и третье. стороны, чтобы подделать местоположение пользователя и получить доступ к микрофону для прослушивания. окружение пользователей. В процессе установки пользователям предлагается загружать приложения с незащищенного HTTP (в отличие от безопасного HTTPS) веб-сайта.
Как и в случае с протестированными нами персональными будильниками, расширение. устройства, которые продаются под различными торговыми марками, легко могут быть. был угнан третьими лицами в различных гнусных целях, согласно данным. Avast.
Avast также предполагает, что этих проблем нет. ограничивается одним поставщиком и оценивает, что существует 50 различных приложений, совместно используемых. та же платформа, которая потенциально может иметь такие же уязвимости. Это. настоятельно рекомендует прекратить использование устройств такого типа.
Информация. комиссар взвешивает
Мы поделились некоторыми своими выводами с Офисом. австралийского комиссара по информации (OAIC), в портфолио которого входят. конфиденциальность данных.
«Мы ожидаем от организаций, которые занимаются личными делами. информацию действовать ответственно в соответствии с Законом о конфиденциальности, включая создание. людям ясно, как будет использоваться их информация », - сказал представитель. сказал нам.
Они добавили, что в соответствии с Законом о конфиденциальности организации «должны только. собирать личную информацию, которая разумно необходима и обязана. принимать разумные меры для защиты личной информации, которую она хранит, от неправомерного использования, вмешательства и потери, а также от несанкционированного доступа, изменения или. раскрытие ".
Мы ожидаем, что организации, которые обрабатывают личную информацию, будут действовать ответственно в соответствии с Законом о конфиденциальности.
Офис австралийского комиссара по информации
"Мы советуем потребителям проявлять осторожность при предоставлении личной информации в Интернете и использовать надежные уникальные пароли или парольные фразы, а не повторно использовать один и тот же пароль для критически важных сервисов, таких как банкинг и сайты социальных сетей, или совместное использование паролей для критически важных сервисов с некритическими служба.
«Если кто-то считает, что его личная информация не обрабатывается в соответствии с Австралийскими принципами конфиденциальности, он может подать жалобу в наш офис, и мы проведем расследование».
OAIC имеет право вмешиваться и налагать штрафы на предприятия, которые не соблюдают правила.
Это разумный совет, хотя, согласно исследованию Avast, некоторые персональные трекеры могут быть взломаны только по номеру устройства или номеру телефона на SIM-карте, поэтому надежные пароли не помогут.
Как защитить ваши личные данные о сигналах тревоги
● По возможности используйте собственную SIM-карту. Стоит отметить, что когда мы хотели это сделать, нам пришлось позвонить поставщику, чтобы узнать, возможно ли это. Может показаться, что более удобным оформление и активация карты продавцом будет для вас, но тогда у него будет больше ваших личных данных.
● Получите личный будильник, который не использует приложение для смартфона. Но имейте в виду, что альтернативы, использующие веб-сайт, также имеют уязвимости, а некоторые просто отсылают вас к картам Google. Если никакое приложение не задействовано, это значительно снижает риск того, что ваши личные данные могут оказаться где-то с плохой защитой. Это также снижает риск того, что кто-то другой сможет отследить владельца.
● Если вы действительно хотите использовать приложение, обязательно ознакомьтесь с отзывами разработчика и любыми онлайн-отзывами. Но помните, положительные отзывы могут оставлять люди, которым производитель платит за их написание. Будьте осторожны, не давайте приложению больше разрешений телефона, чем необходимо для работы.
● Конструкции многих из этих устройств по своей природе уязвимы для утечки данных, поэтому описанные выше действия не являются гарантией безопасности.
● Свяжитесь с компанией, продающей персональные устройства сигнализации, и спросите об их протоколах безопасности, если вас не устраивает информация на их веб-сайте.
Так в чем же дело?
Может быть, вы не слишком беспокоитесь о том, что люди с плохими намерениями получат контроль над личной сигнализацией или подобным устройством? Что ж, вы должны быть - последствия для вашей кибербезопасности могут быть серьезными.
Как отметили наши тестировщики и технические эксперты, это вопрос защиты ваших личных данных. Если он хранится на небезопасном сервере и попадает в чужие руки, его можно использовать для любого количества целей, включая кражу личных данных.
И, как показывает исследование Avast, скрытые третьи стороны могут захватить такие устройства и использовать их для отслеживания местонахождения пользователя или манипулирования функциональностью устройства. Для некоторых это может не быть проблемой, но большинству людей следует избегать такой уязвимости.